편집자주

이 글은 <하버드비즈니스리뷰(HBR)> 2012년 6월 호에 실린 로버트 S. 캐플런(Robert S. Kaplan), 아넷 마이키(Anette Mikes)의 글 ‘Managing risks: A new framework’를 전문 번역한 것입니다.

ⓒ 2012 Harvard Business School Publishing Corp

토니 헤이워드는 2007년 BP CEO로 부임하면서 안전을 최우선 과제로 삼겠다고 선언했다. 그가 도입한 새로운 규칙 중에는 걸을 때는 커피잔에 뚜껑을 덮어야 한다거나 운전 중에는 문자를 보내지 말아야 한다는 항목이 포함돼 있었다. 3년 후 맥시코만의 딥워트 호라이즌 시추선의 폭발로 역사상 최악의 인재가 발생했다. 미국 조사단은 ‘관련자들이 당면한 리스크를 인지하고 적절히 평가하며 대화하고 해결하는 능력’을 빼앗아버린 관리 실패가 이 재앙의 원인이라고 지적했다.

헤이워드 사례는 우리가 흔히 겪는 문제를 보여준다. 리스크 관리에 대한 온갖 미사여구와 자금 투입에도 불구하고 많은 규칙을 세워놓고 직원들이 지키도록 하는 것이 리스크 관리의 전부인 것처럼 다뤄질 때가 많다. 이런 규칙들은 물론 이유가 있으며 기업에 큰 타격이 될 수도 있는 리스크의 일부를 줄여주기도 한다. 하지만 규칙에 기반한 리스크 관리는 딥워터 호라이즌과 같은 재앙이 일어날 가능성이나 그 충격을 줄여주지는 못한다. 2007년부터 2008년 사이의 신용 위기에 수많은 금융기관이 넘어지는 것을 막지 못했듯이 말이다.

이 글에서 우리는 어떤 리스크를 규칙에 기반한 방법으로 해결해야 되고 어떤 리스크들이 다른 식의 접근을 필요로 하는지 새로운 카테고리로 묶을 것이다. 우리는 전략적 선택과 관련된 리스크 관리를 솔직하고 건설적으로 논의하는 것을 막는 개인적 혹은 조직상 어려움을 살펴보고 기업이 전략을 세우고 실행하는 과정에서 이런 논의를 해야만 한다고 주장할 것이다. 이어 기업들의 전략이나 관리 범위 밖에서 일어나는 불가항력적 리스크를 어떻게 인지하고 대응할 것인지 살펴보면서 이 글을 마무리할 것이다.

리스크 관리: 규칙인가, 대화인가?

효과적인 리스크 관리 제도를 만드는 첫 번째 단계는 기업이 부딪치는 리스크 종류별로 어떤 질적 차이가 있는지를 이해하는 것이다. 우리의 연구에 따르면 리스크는 다음 세 가지로 분류할 수 있다. 세 가지 리스크 모두 기업의 전략이나 생존에 치명적일 수 있다.

카테고리 1:예방 가능한 리스크.조직 내에서 발생하는, 관리 가능하고, 제거하거나 피해야 하는 내부 리스크를 말한다. 직원이나 경영진의 승인되지 않은, 불법이거나 비윤리적이거나 옳지 못하거나 부적절한 행동에서 야기되는, 일상적인 프로세스의 실패로 인한 리스크가 그 예다. 물론 회사에 심각한 손해를 끼치지 않거나 완벽하게 막는 것이 어려운 결함이나 잘못에 대해서는 어느 정도 관용의 여지를 둬야 한다. 하지만 일반적으로는 이런 리스크를 감수해서 얻을 전략상 이익은 전혀 없으므로 제거하려고 노력하는 것이 타당하다. 회사의 허가 없이 주식 투기를 하거나 공무원을 매수하는 직원은 단기적으로는 회사에 이익을 가져다줄지 모르지만 장기적으로는 기업 가치를 훼손할 것이다. 이 카테고리에 속하는 리스크는 적극적으로 막아야 한다: 프로세스를 모니터링하고 직원들의 행동이나 결정을 바람직한 방향으로 이끌어 가야 한다. 규칙에 기반한 컴플라이언

스식 해결법에 대해서는 이미 많은 자료가 있으므로 여기에서는 논의하지 않겠다. 관심 있는 독자들은 ‘예방 가능한 리스크를 인지하고 관리하기’를 참고하면 된다.

카테고리 2: 전략 리스크.기업은 더 많은 수익을 내기 위해 자발적으로 리스크를 감수하기도 한다. 예를 들어 은행은 돈을 빌려줄 때 신용 리스크를 감수하며 많은 기업들은 연구, 개발 활동에서 리스크를 진다. 전략 리스크는 본질적으로 바람직하지 않은 것이 아니기 때문에 예방 가능한 리스크와는 매우 다르다. 높은 수익을 기대할 수 있는 전략은 일반적으로 상당한 리스크를 동반한다. 이런 리스크를 관리하는 것이 수익을 현실화하는 열쇠다. BP는 가치가 높은 석유와 가스를 뽑아내고 싶어 멕시코만 바닷속 수마일을 파내려가는 커다란 리스크를 감수했다. 전략 리스크는 규칙에 기반을 둔 리스크 관리법으로 다뤄서는 안 된다. 리스크가 실제로 현실화할 가능성을 줄여주고 현실화하더라도 회사가 잘 관리하고 억제할 수 있는 능력을 향상시키는 관리 시스템이 필요하다. 이런 시스템은 기업이 리스크를 감수하는 모험을 하는 것을 막지 않는다. 오히려 반대로 이런 시스템을 갖추지 못한 경쟁업체에 비해 더 리스크가 크고 기대 수익도 높은 모험을 할 수 있게 될 것이다.

카테고리 3: 외부 리스크.어떤 리스크는 회사 밖에서 일어나는 사건에 기인하기 때문에 회사가 영향을 주거나 조정할 수 없다. 이런 리스크의 원인으로는 자연적, 정치적 재난이나 거시경제적 급변을 들 수 있다. 외부 리스크는 또 다른 방식으로 접근해야 한다. 기업이 이러한 사건을 막을 수는 없으므로 리스크를 인지하고 여파를 완화하는 데 초점을 둬야 한다.

기업들은 각 카테고리별로 리스크 관리 프로세스를 갖춰 대응해야 한다. 컴플라이언스에 기반을 둔 방식은 예방할 수 있는 리스크를 다루는 데는 효과적이지만 공개적이고 솔직한 토론을 필요로 하는 전략 리스크나 외부 리스크를 다루는 데는 매우 부적절하다. 이렇게 말하기는 쉽지만 실천하기는 어렵다. 광범위한 행동 관리 및 조직 관리 연구 결과에 따르면 개인들은 강한 인지적 편향이 있어 너무 늦어버릴 때까지 리스크에 대해 생각하거나 논의하지 못한다.

리스크에 대해 논하는 것은 왜 어려운가?

다수의 연구에 의하면 사람들은 실제로는 우연히 결정되는 사건에 자신들의 영향력을 과대평가하는 경향이 있다. 게다가 자신이 내리는 예측이나 리스크 평가에는 지나치게 자신만만하면서도 일어날 수 있는 다양한 결과들은 경시하는 경향이 있다.

또한 가까운 과거의 일을 가지고 매우 불확실하고 변수가 많은 미래를 추정하는 일은 위험한데도 쉽게 구할 수 있는 과거의 증거들을 기반으로 추정한다. 잘될 것이라는 입장을 지지하는 정보를 선호하고 반대되는 것은 억누르곤 하는 확증편향으로 문제를 악화시킬 때가 많다. 일이 기대에서 어긋나면 실패한 방향에 자원을 더 많이 비이성적으로 쏟아부으며 더욱 전념하는 경향도 있다. 조직의 편견 또한 리스크와 실패에 대한 논의를 방해한다. 특히 불확실한 상황에 빠진 팀이 집단 사고를 통해 일을 해결하려 할 때가 많은데 팀 내에서 일단 특정한 행동방향이 지지를 얻으면 아직 합류하지 않은 사람들까지 반대 의견이 타당하더라도 그런 욕구를 억누르며 따라가는 경향이 있다. 충돌이나 지연 또는 자신의 권위에 대한 도전을 최소화하고 싶어 하는 고압적이고 지나치게 자신만만한 관리자가 팀을 이끌 때 집단 사고를 할 가능성이 크다.

개인적·조직적 편견은 왜 그토록 많은 기업들이 모호한 위험요소들을 간과하거나 잘못 해석하는지 설명해준다. 리스크를 완화하는 것이 아니라 사소한 실패나 잘못은 참아 넘기고 초기의 경고 신호들은 잘못된 것으로 치부하는 일탈의 정상화를 통해 리스크를 키우는 것이다.

효과적인 리스크 관리 프로세스는 이런 편견들에 대응해야 한다. “리스크 완화는 고통스럽습니다. 인간이 하기에 자연스러운 행동은 아니지요.” 미 항공우주국(NASA) 제트추진연구소의 최고 시스템 엔지니어인 젠트리 리가 말한다. 제트추진연구소 프로젝트 팀의 로켓 과학자들은 명문대학의 최우등생들이다. 그들 중 대다수는 학교나 직장에서 실패를 경험해 본 적이 없다. 리는 연구소에 새로운 리스크 문화를 세우려 했는데 가장 큰 걸림돌은 연구원들이 자신들의 훌륭한 설계에 어떤 문제가 있을 수 있는지 생각해보고 말하는 것을 편안하게 느끼도록 하는 것이었다.

무엇을 해야 하고 무엇은 하면 안 되고 하는 규칙들은 이런 상황에 아무 도움이 되지 않는다. 오히려 도전과 토론을 막는 체크리스트 중심의 사고방식을 부추겨 역효과를 낸다. 전략과 관련된 리스크나 외부 리스크를 관리하는 것은 매우 다른 접근법을 필요로 한다. 우선 전략 리스크를 어떻게 인지하고 완화하는지 살펴보자.

전략 리스크 관리

지난 10년간 연구를 통해 우리는 전략 리스크를 관리하는 세 가지 접근법을 정리했다. 기업마다 어떤 모델이 맞는지는 조직이 어떤 상황에서 돌아가는지에 달렸다. 각 방법에 따라 요구되는 리스크 관리 기능의 조직과 역할이 매우 다르지만 세 가지 방법 모두 직원들이 현재의 가정을 당연시하지 말고 리스크에 대해 토론할 것을 장려한다. ‘하나의 방식으로 모든 위기를 관리할 수는 없다’는 우리의 연구 결과는 리스크 관리 기능을 규격화하려는 규제 당국이나 전문 집단의 노력과는 상반된다.